Eines der elementaren Nutzerrechte der DSGVO ist das Auskunftsrecht.
Eine betroffene Person kann sich jederzeit an ein Unternehmen wenden und Auskunft darüber verlangen, ob dieses Daten über sie speichert und verarbeitet.
Ist dies der Fall, muss dem Antragsteller Auskunft über die vorhandenen Daten erteilt werden.
Dazu gehört auch die Information, ob seine Daten an externe Empfänger weitergegeben werden.
Bislang war umstritten, ob hier die bloße Nennung von Empfängerkategorien ausreicht.
Ein aktuelles Urteil des EuGH schafft hier Klarheit, nähere Informationen und die Konsequenzen für die Praxis finden Sie im folgenden Beitrag.
Der zugrundeliegende Fall
In einem aktuellen Urteil des EuGH (Urt. v. 12.1.2023 – C-154/21) hatte das Gericht über den Umfang der Informationen zu entscheiden, die zu erteilen sind, wenn ein Betroffener Auskunft über seine gespeicherten Daten verlangt.
Ein österreichischer Nutzer hatte von der österreichischen Post auf Grundlage der DSGVO Auskunft darüber verlangt, an wen seine Daten weitergegeben wurden.
Die österreichische Post antwortete ihm zwar, teilte in ihrer Antwort aber nur allgemein mit, dass sie die Daten im gesetzlich zulässigen Rahmen nutzen und auch Geschäftskunden zu Marketingzwecken anbieten würde.
Dem Beschwerdeführer genügte diese Auskunft nicht, weshalb er Klage erhob. Der österreichische Oberste Gerichtshof legte dem EuGH die Frage nach dem Umfang der zu erteilenden Auskünfte vor.
Die europäischen Richter stellten fest, dass ein (datenschutzrechtlich) Verantwortlicher die konkrete Identität der Empfänger mitteilen muss.
Nur wenn eine Identifizierung der einzelnen Empfänger nicht möglich sei, dürfe mit Kategorien gearbeitet werden. Dies gelte aber auch dann, wenn der Verantwortliche nachweisen kann, dass der Antrag offensichtlich unbegründet oder exzessiv wäre.
Der EuGH betonte hier auch, dass das Auskunftsrecht gerade die Grundlage darstellt, auf der ein Nutzer seine weiteren Rechte wie das Recht auf Löschung oder das Recht auf Berichtigung wahrnehmen kann.
Konsequenzen für die Praxis
Wie nun klargestellt wurde, müssen einem Antragsteller künftig alle externen Empfänger, an die seine Daten weitergegeben werden, konkret benannt werden.
Dabei sind der Name des Unternehmens und mindestens eine Kontaktadresse anzugeben.
Im Bereich des Online-Handels sind dies z.B. Newsletter-Anbieter wie Mailchimp oder Cleverreach, Bestellabwickler wie Afterbuy oder Dreamrobot, Versandunternehmen wie DHL, DPD oder Hermes,
Bezahldienstleister wie Klarna, Paypal oder Payone.
Übrigens: In unseren Premium-Tarifen ist ein DSGVO-Assistent enthalten. Hier können Sie nicht nur das vorgeschriebene Verzeichnis von Verarbeitungstätigkeiten hinterlegen,
wir unterstützen Sie hier auch bei der Beantwortung von Auskunfts- oder Löschanfragen – natürlich unter Berücksichtigung der aktuellen Rechtsprechung.